修复硬件和软件漏洞需要全球信息共享。但有人在2018年7月11日告诉美国参议院商务委员会称,共享硬件和软件漏洞信息是一项全球性计划,目前还没有一种好的方法既能协调修复大型漏洞,又能让中国政府完全不知情。

美国:漏洞“保密期”不要通知中国企业!

2017年,在为期六个月修复英特尔幽灵(Spectre)和熔断(Meltdown)芯片漏洞的过程中(通常情况,厂商在获得漏洞后会有三个月的时间修复,之后再向公众披露漏洞,以免漏洞被恶意人士利用),芯片制造商向众多中国公司发出了这两个漏洞的警告,而华为公司就位列其中。美国情报机构认为,华为等公司很可能向中国政府及情报机构上报了这一漏洞信息。

英特尔这次的漏洞几乎影响了近几十年来的电脑,美国参议院商务委员主席约翰·图恩称,美国政府也是直到这些漏洞2018年1月被公开披露后才得知这些漏洞的存在。该委员会高级成员比尔·尼尔森认为,”迟来的“通知令人不解,且不可原谅。

美国行业和学界官员对立法者称,电脑硬件和软件制造商们应该在修复漏洞的早期就通知美国政府,以防漏洞规模升级,国土安全部(DHS)本可以在漏洞披露过程中提供有用的指导,而事实却没有。

有网就有威胁情报共享

卡耐基梅隆大学协调中心负责协调公私电脑紧急响应团队(CERT)的工作,该大学高级漏洞分析师 Art Manion 称,因担心网络敌对政府利用未修复的漏洞实施间谍或破坏活动,而试图不让他们知道这些漏洞信息很可能是徒劳的,互联网无国界,因此很难不让美国以外的个人和组织获取信息,且这些个人、组织与其国家政府之间的关系几乎是美国无法掌控的。

Manion 所在的组织——CERT 协调中心,也没有提前得到关于“幽灵”和“熔断”漏洞的通知。如果该中心早些接到了关于这两个漏洞的通知,那么该组织的官员们会建议在该漏洞被公开披露前将这些漏洞信息告知更多的硬件提供商。

Manion表示,未来该中心可能会更新其协调漏洞披露政策的指南,以明确政府参与的重要性。由于许多公司和组织在漏洞协同披露中会得到更多实际指导,未来让政府参与进来可能会成为一种惯例。

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。